黑榜:25个最危险的顶级域名
全球目前有上千个顶级域名(例如.com、.org等)可供选择,但网络犯罪分子只青睐其中一小部分。根据Unit42的调查报告,90%的恶意网站都在扎堆使用25个顶级域名。
在这25个顶级域名中,前10个中有6个由发展中国家管理,这些国家往往是人口稀少的小国,却托管着大量风险站点。
近日,Palo Alto Networks的Unit42安全团队深入分析了恶意网站的统计数据,并根据威胁类型分类为恶意软件、网络钓鱼、命令和控制(C2)和灰色软件(广告软件、间谍软件等)。
Unit42使用2020年10月7日收集的数据分析了经过高级URL过滤服务分类且符合特定标准的域名。
Unit42使用这些数据创建了以下汇总表,可以大致了解不同类别恶意网站的顶级域名累积分布(CD)。CD越高,用于该类别的特定顶级域名就越多。
可以看出,最流行的顶级域名是.com在各类恶意域名中的比例比较平均,这表明骗子乐于使用.com域名,因为它增加了合法性并往往能提高成功率。
“累积分布”分值最高的顶级域名是:.xyz、.icu、.ru、.cn、.uk和tk,这意味着网络上传播的大多数不良内容都来自这些域名。
传播恶意软件最多的顶级域名是:.ga、.xyz、.cf、.tk、.org和.ml。
网络钓鱼者最喜欢使用.net,其他还包括.pw、.top、.ga和.icu。不过,研究人员发现,网络钓鱼是域名分布最均匀的类别之一,99%的钓鱼网站域名分布在92个不同的顶级域名中。
Grayware正在通过 .org、.info、.co、.ru、.work、.net和.club域分发,表明支持此类软件的诡计。
最后,C2基础设施通常依赖于.top、.gq、.ga、.ml、.cf、.info、.cn和.tk。
Palo Alto根据恶意域与TLD总注册的比率编制了下表。
在下表中,MAD分数是“绝对偏差的中位数”,这意味着分数越高该顶级域名的恶意域名注册数量就越多。
域名风险报告到底有何意义?
太平洋小岛托克劳管理的顶级域名在所有恶意类别中排名前十,这意味着相关注册机构可能没有遵循严格的审查规范。
“域名界中最引人入胜的故事之一就是.tk(一个名为托克劳的太平洋小岛的ccTLD)成了世界上最“繁荣”的顶级域名之一。该域名注册一度贡献了托克劳收入的六分之一。”Unit42的报告指出:
“托克劳因提供免费域名注册而变得热门,其中顶级域名运营商的收入来源是通过广告而不是域名注册费。不幸的是,他们的域名注册政策也招致滥用、垃圾邮件和大量敏感内容,因为我们见表1。”
托克劳的问题也存在于由帕劳共和国和西萨摩亚控制的.pw和.ws域名。
这些国家/地区提供廉价甚至免费的域注册,以从网站上运行的广告中获得收入。
这种广告模式从域名注册中产生了可观的收入,但也为大规模滥用打开了大门。
当然,这并不意味着.net、.org和.xyz等大型顶级域名可以放宽对滥用注册的限制。相反,统计数据显示,主流的顶级域名会更负责地清除恶意域名注册。虽然这些主流顶级域名往往也会被黑客攻击控制,但这些域名(的运营者)本身并没有恶意。
域名风险报告的价值在于能够帮助互联网安全解决方案加强其恶意域名检测算法。在确定安全软件或网关是否应阻止某些URL时,域名风险可以作为一个参考因素,以生成总风险评分。